Wat is er mis?! | Hoe op te lossen | Over Stichting Tegen Hackbare Verkiezingen |
Wat is er mis?
Sinds 2017 is bekend dat onveilige software wordt gebruikt
Op 30 januari 2017 maakte de onderzoeksredactie van RTL Nieuws bekend dat slecht beveiligde optelsoftware wordt gebruikt om de verkiezingsuitslag uit te rekenen en dat hackers met de uitslag kunnen frauderen. Minister Plasterk verbood de gemeentes toen de software nog te gebruiken. Omdat gemeentes geen alternatieve werkwijze hadden en de verkiezingen over enkele weken gepland stonden, werd de software toch maar wel ingezet. Met één uitzondering: de overdracht van stemtotalen via USB-sticks werd definitief geschrapt.
De software is de afgelopen 3,5 jaar veiliger gemaakt, maar nog steeds fundamenteel kwetsbaar voor hackaanvallen en manipulatie, omdat de computeroptellingen niet handmatig of anderszins onafhankelijk van de software worden geverifieerd.
Ook een ‘veilig’ en gecertificeerd computerprogramma is altijd manipuleerbaar binnen de omgeving waarin het draait. De harde schijf en het computergeheugen waarop het programma draait kunnen elk moment worden aangepast door malware die bijvoorbeeld in de officiële installatiebestanden of het besturingssysteem is geslopen, of later handmatig is toegevoegd aan de officiële setup.
Hoe gaan de verkiezingen in 2021 verlopen en waar zit de kwetsbaarheid?
Op woensdag 17 maart 2021 zijn de Tweede Kamerverkiezingen. Burgers kunnen hun stem met potlood op papier vastleggen. Aan het eind van de dag worden alle stemmen in het openbaar geteld door stembureauleden. Van deze telling en daarmee de stembureau-uitslag wordt een papieren proces-verbaal opgemaakt en ondertekend op een openbare zitting. Deze wordt vervolgens naar het gemeentelijk centraal stembureau gebracht door de stembureauvoorzitter.
De volgende dag zit een team van ambtenaren klaar dat vervolgens alle ontvangen processen-verbaal overtypt in een computerprogramma genaamd Ondersteunende Software Verkiezingen 2020 (OSV2020-U). Als twee personen hetzelfde proces-verbaal exact overtypen (vier-ogen principe) dan worden de stemtotalen van het stembureau definitief in de database opgeslagen op de centrale computer. Die staat in een tijdelijk aangelegd offline computernetwerk van een klein aantal computers.
Aan het eind van de dag , drukt een ambtenaar op een knop, en OSV2020-U telt alle stemtotalen per partij en voorkeurskandidaat bij elkaar op en rekent vervolgens de uitslag uit. Die wordt geprint en ondertekend door de burgemeester. Op een publieke zitting wordt de uitslag bekend en definitief gemaakt.
Papieren proces-verbaal: gedigitaliseerd en niet meer naar omgekeken
De fundamentele kwetsbaarheid zit in het feit dat alle papieren processen-verbaal (tussen de 9.000 en 10.000 stuks) van stembureaus overgetypt worden door gemeenteambtenaren in het programma OSV2020-U dat in de meeste gevallen op Windows draait. Daarna gaat het papier de kluis in en er wordt verder niet meer naar omgekeken in het optelproces, omdat het gedigitaliseerd is. De computer berekent de uitslag en die wordt vertrouwd. Ambtenaren of externe partijen tellen in het formele proces geen enkel stemtotaal van stembureaus bij elkaar op .
Waar gaat het mis?
De kern van het probleem is dat software die best geschikt is voor het bepalen voor een voorlopige uitslag, gebruikt wordt voor de definitieve uitslag. De belangrijkste spelers lijken niet van zins of niet van machte om de benodigde veranderingen door te voeren.
Nut van onafhankelijk optellen wordt niet ingezien
Gemeentes, de Kiesraad en het ministerie van Binnenlandse Zaken achten het niet noodzakelijk om stemtotalen van politieke partijen handmatig na te rekenen of anderszins onafhankelijk te verifiëren:
- De Kiesraad schrijft niet voor dat gemeentes ook (handmatig of anderszins onafhankelijk) stemtotalen per politieke partij uit de processen-verbaal bij elkaar op moeten tellen en deze uitslag daarna te vergelijken met de door de computer berekende uitslag. Deze controle zou een eventuele hack van een optelcomputer aan het licht kunnen brengen.
- Omdat het niet wordt voorgeschreven, nemen gemeentes – op één na – niet de moeite om de door de optelsoftware berekende verkiezingsuitslag na te rekenen om eventuele fraude (hacks) op te sporen.
Van de gemeente Utrecht is het bekend dat ze in 2017 voor drie door de burgemeester willekeurig gekozen partijen wel handmatig de stemtotalen op partijniveau bij elkaar opgeteld hebben, om de resultaten te vergelijken met de computeruitslag. - Gemeentes willen mogelijk niet handmatig optellen omdat ze dit ouderwets, foutgevoelig en tijdrovend vinden. Veel mensen vinden software betrouwbaar en zien het gevaar ervan niet in.
- Gemeentes hebben wettelijk gezien maar een paar dagen de tijd om alle stemtotalen bij elkaar op te tellen en de uitslag te berekenen. Daar zijn ze al druk genoeg mee en op extra werk zitten ze waarschijnlijk niet te wachten.
Kiesraad heeft (nog) geen mandaat over gemeentes
De Kiesraad heeft in zijn adviserende rol richting gemeentes in 2018 voor het eerst beveiligingsrichtlijnen opgesteld. Niemand controleert echter of deze in de praktijk correct worden doorgevoerd door gemeentes. De Kiesraad ondergaat daarvoor momenteel ook de transitie naar een “Kiesautoriteit”, zodat ze zeggenschap gaat krijgen over hoe gemeentes verkiezingen organiseren en dit kan en mag controleren. Dit is echter nog niet bekrachtigd.
Het is aan burgers om fraude met optelcomputers te constateren
De overheid heeft als standpunt ingenomen dat als burgers bezorgd zijn over hacks of manipulatie van de computerberekening, ze sinds vorig jaar zelf altijd nog kunnen narekenen of alles wel klopt. Overigens kan dit vaak pas nadat de uitslag al bekend gemaakt is. Omdat weinigen zomaar zin hebben om onbetaald een paar dagen/weken te gaan zitten optellen en het bewustzijn veelal ontbreekt dat dit nuttig is, zijn serieuze burgerinitiatieven daaromtrent vooralsnog uitgebleven.
Stichting Tegen Hackbare Verkiezingen concludeert hieruit dat dit anders moet worden georganiseerd.
Wat is de kern van het probleem?
Het ministerie van Binnenlandse Zaken (BZK) is verantwoordelijk voor het organiseren van verkiezingen. De Kiesraad (ca. 20 FTE) valt onder BZK en is belast met het organiseren van verkiezingen en levert de software. In Nederland is het verkiezingsproces sterk gedecentraliseerd. De rol van gemeenten daarbij is groot. Zij zijn verantwoordelijk voor de 10.000 stembureaus en bepalen de gemeentelijke uitslag.
De Kiesraad is zich inmiddels wel bewust van de onveilige software en wil ervan af. Ze heeft echter nog geen nieuwe oplossing en moet nu nog wel door met de oude versie die ieder jaar weer een stukje wordt verbeterd. De Kiesraad heeft waarschijnlijk wel de juiste kennis aan boord, maar het ontbreekt de Kiesraad aan mandaat, nieuwe software en controleerbare processen en procedures.
De Kiesraad is adviserend en levert de software aan gemeentes, maar de gemeentes bepalen nog steeds hoe ze de verkiezing willen organiseren in hun gemeente (binnen de wettelijke marges). De Kiesraad heeft op grond van de Kieswet bijvoorbeeld niet de bevoegdheid om tot een hertelling te besluiten of om een inspectie uit te voeren naar de veiligheid van de computerapparatuur.
Veel gemeentes willen het liefst geen papier en zijn (groot) voorstander om alles te automatiseren. Vaak erkennen zij de hackdreiging niet, zijn zich hier niet bewust van, of denken dat de verschillende maatregelen die nu al genomen worden voldoende zijn om de veiligheid te waarborgen. Hoe dan ook, zij zien de noodzaak niet de uitslag handmatig na te tellen, zeker niet als de Kiesraad dit niet voorschrijft. Daarnaast hebben gemeentes vaak een (te) groot vertrouwen in computers. Gemeentes zijn vooral ingericht op efficiëntie, en veel minder op IT-integriteit en computerveiligheid.
Kiesraad is druk, handmatig tellen impopulaire maatregel
De Kiesraad is volgens hun jaarverslag 2019 druk geweest met zes verkiezingen, de transitie van een Kiesraad naar een Kiesautoriteit en het ontwikkelen van nieuwe software. Voor die transitie hebben ze de samenwerking van gemeentes en BZK hard nodig.